DDNS mit networkd stateful IPv6 via DHCP

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
minimike
Beiträge: 5594
Registriert: 26.03.2003 02:21:19
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Köln
Kontaktdaten:

DDNS mit networkd stateful IPv6 via DHCP

Beitrag von minimike » 05.01.2017 20:53:09

Hi

Ich hasse SystemD. Aber ich suche gerade eine Lösung mit der sich DDNS via stateful IPv6 via DHCP zuverlässig realisieren lässt. Mit dhclient bekäme ich das schon hin. Allerdings nicht zuverlässig und dann noch aufwendig. Zum fiktiven Szenario was ich gerade teste... Alles läuft in einer Cloud, ich hätte zwar SSH Access, aber den benutze ich nie denn alles läuft automatisch. Installationsroutienen werden Rollenbasiert anhand FQDN der Systeme aufgelöst. Der FQDN wird vom DHCP Server via DDNS and den Nameserver dynamisch gefüttert. Darum auch DDNS stateful IPv6 via DHCP und kein SLAAC. Denn SLAAC sendet keine Hostnames an den DHCP-Server und dieser dann nicht an den Nameserver. Es ist unabdingbar erforderlich das der DHCP Client dem DHCP Server den Hostname des Clients übermittelt zwecks Generierung des FQDN dynamisch auf dem Nameserver.

Den ISC DHCP Clienten, DHCP6C und NetworkManager habe ich schon getestet. Fazit unbefriediegend. Jetzt zu networkd...

Code: Alles auswählen

[Match]
Name=ens192
DOMAIN=webterrorist.local
[Network]
IPv6PrivacyExtensions=false
DHCP=ipv6
[DHCP]
UseDNS=true
UseHostname=true
SendHostname=true
UseDomains=webterrorist.local


Issus/Fragen

Ist die oben beschriebene Konfiguration von der Syntax her korrekt?

Es wird kein Hostname gesendet sofern bei DHCP ipv6 als Wert angegeben wird. Zudem wird das mit IPv6PrivacyExtensions ignoriert und der Client erhält trotzdem eine temporäre Addresse. Lässt sich das doch Beheben?

Es wird kein Hostname gesendet sofern bei DHCP dhcp als Wert angegeben wird. Die Konfiguration des Interfaces ist Murks weil mit den Einstellungen kann das System nicht mal mit sich selber Reden...

Es wird kein Hostname übernommen sofern im DHCP Server ein Hosteintrag für den Host mit duid der Hostname als auch Ipaddresse mitgegeben wird.

In der Manpage habe ich nichts gefunden was dem Abhilfe schafft. Das Problem ist nicht Serverseitig zuzuorden. Der Entscheidene Task im Client fehlt halt. Einzig mit IPv4 läuft es "normal" Das ist aber in einem IPv6 only Netz recht sinnfrei. Davon kann ich mir nichts kaufen.
"Lennart Poettering is one of those typical IT leaders..." "like Linus Torvalds and Theo de Raadt?" "more like Bozo the Clown" After all, now a good employee of Microsoft

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: DDNS mit networkd stateful IPv6 via DHCP

Beitrag von mat6937 » 05.01.2017 22:01:07

minimike hat geschrieben: ... von der Syntax her korrekt?

In der Manpage habe ich nichts gefunden was dem Abhilfe schafft.
In welche Manpage hast Du geschaut? ... denn dort hättest Du sehen können, dass das von der Syntax her, nicht korrekt ist.

BTW: Ich verwende für IPv6, SLAAC und nsupdate.

Benutzeravatar
minimike
Beiträge: 5594
Registriert: 26.03.2003 02:21:19
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Köln
Kontaktdaten:

Re: DDNS mit networkd stateful IPv6 via DHCP

Beitrag von minimike » 06.01.2017 09:06:50

Hi ich habe diese verwendet,
https://www.freedesktop.org/software/sy ... twork.html#

Wie wäre denn die Konfiguration richtig?

nsupdate auf den Clients wäre in einer solchen Umgebung ein NoGo. Weil das Passwort wäre dann auf diesen gespeichert. Damit kann man die Umgebung dann schachmatt setzen.
"Lennart Poettering is one of those typical IT leaders..." "like Linus Torvalds and Theo de Raadt?" "more like Bozo the Clown" After all, now a good employee of Microsoft

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: DDNS mit networkd stateful IPv6 via DHCP

Beitrag von mat6937 » 06.01.2017 09:26:24

minimike hat geschrieben:Hi ich habe diese verwendet,
https://www.freedesktop.org/software/sy ... twork.html#
Das ist eine manpage für "systemd 232". Evtl. hast Du eine andere Version auf deinem Gerät. Evtl. die entsprechende manpage auf deinem Gerät anschauen.
minimike hat geschrieben: nsupdate auf den Clients wäre in einer solchen Umgebung ein NoGo. Weil das Passwort wäre dann auf diesen gespeichert. Damit kann man die Umgebung dann schachmatt setzen.
Welches Passwort meinst Du? nsupdate braucht kein Passwort. nsupdate kann auch von einem einzigen Client aus verwendet werden (wenn auf den Router/DNS-Server nicht möglich).

Benutzeravatar
minimike
Beiträge: 5594
Registriert: 26.03.2003 02:21:19
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Köln
Kontaktdaten:

Re: DDNS mit networkd stateful IPv6 via DHCP

Beitrag von minimike » 06.01.2017 09:42:27

Passwort war schlecht. Es braucht eine Keyfile. Man kann zum Beispiel zu Hause auch ohne. Aber in einer produkiven Cloud wäre das Betreff security der absolute GAU. Schlimmer geht es nimmer. Das absolute Desaster. Ein Angreifer der es ins Netz schafft, kann so binnen Sekunden die Infrastruktur abreissen. Darum ist es so etwas von wichtig das entsprechend anzusichern. Einige Cloudlösungen liefern DNS als SaaS. Bei OpenStack zum Beispiel Designate oder Moniker. Was nicht heisst das man für alles und jedes auch OpenStack verwenden muss/soll. Wenn man als Architekturentscheidung eine Lösung verwendet die dies nicht mitbringt, geht man den klassichen Weg. DynDNS wo nur der abgesicherte DHCP Server auf Nameserver zugreifen darf.
"Lennart Poettering is one of those typical IT leaders..." "like Linus Torvalds and Theo de Raadt?" "more like Bozo the Clown" After all, now a good employee of Microsoft

Antworten